新品互換用パソコン バッテリー、ACアダプタ、ご安心購入!
ノートpcバッテリーの専門店



人気の検索: ADP-18TB | TPC-BA50| FR463

容量 電圧 製品一覧

スペシャル

キャリアのSIMカード交換プロセスに個人情報を流出させかねない欠陥があるとセキュリティ研究者が指摘

SNSやECといったウェブサービスでアカウントを認証する方式として広く採用されているSMSや電話によるワンタイムパスワード方式は、電話番号だけでアカウントを認証できる便利な認証方式です。しかし、アメリカの大手通信キャリアが提供するプリペイド式SIMカードの電話番号を利用している場合、簡単に認証を突破される危険性があると、プリンストン大学のKevin Lee氏らセキュリティ研究者が指摘しています。

An Empirical Study ofWireless Carrier Authentication for SIM Swaps

(PDF)https://www.issms2fasecure.com/assets/sim_swaps-01-10-2020.pdf

Is SMS 2FA Secure?

https://www.issms2fasecure.com/

アメリカでプリペイド式のSIMカードを紛失したり、SIMカードのサイズを変更したりする場合、新しいSIMカードをアクティベートして古いSIMカードを使用不能にする「SIMスワップ」を利用するのが一般的です。今回欠陥が見つかったのはこのSIMスワップを行う通信キャリアのカスタマーサービスセンター(CSR)のオペレーション。攻撃者が本来の契約者の許可なくSIMカードを交換した場合、簡単に電話番号を乗っ取ることが可能となり、電話やSMSでのワンタイムパスワード認証が簡単に突破されてしまう危険性があるというわけです。

今回のSIMスワップに関する調査はアメリカでプリペイド式SIMカードを提供している主要通信キャリアであるAT&T、T-Mobile、TracFone、US Mobile、Verizonが対象。Lee氏らは複数のアカウントを用意して通信キャリアのCSRにSIMスワップを要求し、CSRからアカウントの認証方式が欠陥のあるものでないかを確かめました。

SNSやECといったウェブサービスでアカウントを認証する方式として広く採用されているSMSや電話によるワンタイムパスワード方式は、電話番号だけでアカウントを認証できる便利な認証方式です。しかし、アメリカの大手通信キャリアが提供するプリペイド式SIMカードの電話番号を利用している場合、簡単に認証を突破される危険性があると、プリンストン大学のKevin Lee氏らセキュリティ研究者が指摘しています。

An Empirical Study ofWireless Carrier Authentication for SIM Swaps

(PDF)https://www.issms2fasecure.com/assets/sim_swaps-01-10-2020.pdf

Is SMS 2FA Secure?

https://www.issms2fasecure.com/

アメリカでプリペイド式のSIMカードを紛失したり、SIMカードのサイズを変更したりする場合、新しいSIMカードをアクティベートして古いSIMカードを使用不能にする「SIMスワップ」を利用するのが一般的です。今回欠陥が見つかったのはこのSIMスワップを行う通信キャリアのカスタマーサービスセンター(CSR)のオペレーション。攻撃者が本来の契約者の許可なくSIMカードを交換した場合、簡単に電話番号を乗っ取ることが可能となり、電話やSMSでのワンタイムパスワード認証が簡単に突破されてしまう危険性があるというわけです。

今回のSIMスワップに関する調査はアメリカでプリペイド式SIMカードを提供している主要通信キャリアであるAT&T、T-Mobile、TracFone、US Mobile、Verizonが対象。Lee氏らは複数のアカウントを用意して通信キャリアのCSRにSIMスワップを要求し、CSRからアカウントの認証方式が欠陥のあるものでないかを確かめました。

また、Two Factor Authによれば、電話やSMSによるワンタイムパスワード認証を採用しているウェブサービスは数多くあるため、SIMスワップの欠陥によりウェブサービスのアカウントそのものを乗っ取られてしまう可能性も十分にあるとのこと。